Deze voorbeeldworkload toont een Azure Virtual WAN-implementatie met meerdere hubs per regio. Om de beschikbaarheid en schaalbaarheid te verbeteren, is elke hub gekoppeld aan geografisch verspreide, redundante Azure ExpressRoute-circuits. Deze architectuur is voor uitzonderlijk grote en kritieke workloads. Het ondersteunt business units en applicaties die zich op virtuele spaaknetwerken bevinden. De virtuele spaaknetwerken hebben vaak beveiligingsvereisten voor internet-naar-spoke- of spaak-naar-spoke-connectiviteit.
Architectuur
Een downloadenVisio-bestandvan deze architectuur.
Werkstroom
De volgende workflow komt overeen met het vorige diagram:
Verkeer van de virtuele spaaknetwerken naar het internet loopt via de firewalls van de virtuele netwerktoepassing (NVA) in de virtuele beveiligingsnetwerken die zijn aangesloten op dezelfde hub als de spaak.
De NVA's die zijn verbonden met dezelfde hub als de spoke-bron of -bestemming inspecteren al het verkeer tussen de virtuele spoke-netwerken en on-premises. Deze routering optimaliseert de prestaties en behoudt veilig verkeer tussen on-premises en Azure.
Verkeer tussen spaken die zich op verschillende hubs bevinden, volgt het padsprak>middelpunt>middelpunt>sprak. Als spaakeigenaren meer inspectie willen, moeten ze dit in hun spaken implementeren. Dit verkeer doorkruist geen ExpressRoute-verbindingen en Nva's van virtuele beveiligingsnetwerken inspecteren het niet.
Spoke-to-spoke-verkeer op dezelfde hub volgt het padsprak>middelpunt>sprak. NVA's van virtuele beveiligingsnetwerken inspecteren dit verkeer niet.
Componenten
- ExpressRouteis een service die een privéverbinding biedt tussen uw on-premises omgeving en Azure-resources.
- Virtueel WANis een netwerkservice die via Azure geoptimaliseerde en geautomatiseerde verbindingen tussen filialen biedt. Het biedt doorvoer voor netwerken en routering via ExpressRoute tussen uw on-premises resources en uw Azure-resources.
- Aangepaste routetabellen optimaliseren de routering in de oplossing, zodat netwerk-naar-netwerkverkeer de firewalls kan omzeilen. Verkeer tussen netwerken en on-premises omgevingen blijft geïnspecteerd.
- Labels vereenvoudigen de routering door de noodzaak weg te nemen om de routes van individuele netwerken uitgebreid naar alle routetabellen te propageren.
- NVA'szijn virtuele machines die de routering regelen om de stroom van netwerkverkeer te beheren. Deze architectuur maakt gebruik van NVA's. Grote organisaties met gevestigde investeringen in firewalltechnologie en -beheer hebben vaak NVA's nodig.
Alternatieven
Een alternatief is een hub-and-spoke virtueel netwerkmodel met Azure-routeservers. U kunt betere prestaties hebben dan de limiet van 50 Gbps per hub. Dit alternatief heeft betere prestatielimieten maar meer complexiteit. Voor meer informatie, zieHub-spoke netwerktopologie in Azure.
Als een ander alternatief splitst ExpressRoute Direct ExpressRoute-circuits op in lokale en standaardcircuits. Deze service kan de kosten optimaliseren als de benodigde bandbreedte voldoende is om het gebruik van ExpressRoute Direct te rechtvaardigen.
Scenariodetails
Deze implementatie maximaliseert de schaalbaarheid van Virtual WAN door meerdere Virtual WAN-hubs per regio te gebruiken. Om het aantal virtuele netwerkverbindingen te vinden dat elke hub kan ondersteunen, trekt u het totale aantal virtuele WAN-hubs in uw oplossing af van 500. In deze oplossing met vier hubs kan elke hub 496 virtuele netwerkverbindingen ondersteunen. Prestaties schalen lineair met het aantal hubs, dus deze oplossing biedt uitzonderlijke prestaties en schaalbaarheid van virtuele netwerken.
Deze oplossing maakt gebruik van een open vlinderdasontwerp voor ExpressRoute-connectiviteit met de virtuele WAN-hub. Elke hub heeft twee geografisch verspreide ExpressRoute-circuits. Dit ontwerp lost veel problemen op en maakt het gebruik van NVA's mogelijk.
ExpressRoute is een voorkeurspad voor Virtual WAN omdat verkeer kan reizen tussen twee spokes die zijn aangesloten op verschillende hubs, bijvoorbeeld tussen Spoke VNet1 en Spoke VNet5. Als het ontwerp een volledige vlinderdas is met één ExpressRoute-circuit dat verbinding maakt met Regio1 VWAN Hub1 en Regio2 VWAN Hub1, begint het verkeer tussen de spaken bij Spoke VNet1 en gaat het vervolgens naar Regio1 VWAN Hub1. Het gaat via het ExpressRoute-circuit en maakt vervolgens een back-up van het ExpressRoute-pad naar Region2 VWAN Hub1 en vervolgens naar Spoke VNet5. Het open vlinderdasontwerp elimineert dat pad en maakt het spaak-naar-hub-naar-hub-naar-spaak-pad mogelijk.
Deze oplossing maakt gebruik van verschillende ExpressRoute-circuits, zodat u de lokale ExpressRoute-SKU kunt gebruiken voor al hun standaard bedrijfsverkeer. Het pad voor noodherstel wordt zelden gebruikt en is een standaardcircuit-SKU, waarmee de bandbreedtekosten in de oplossing worden geoptimaliseerd.
Verkeer kan de NVA gebruiken in het virtuele beveiligingsnetwerk dat is gekoppeld aan dezelfde hub als het virtuele netwerk waar de bron van het verkeer zich bevindt. Tijdens een ExpressRoute-fout blijft het back-uppad de lokale NVA gebruiken. Het back-uppad vereenvoudigt de routering, optimaliseert de prestaties door inspectie in meerdere regio's te vermijden en minimaliseert het risico van asymmetrische routes door de complexiteit te beperken.
Aangepast NVA-ontwerp maakt routeringsflexibiliteit mogelijk door gebruik te maken van door de klant gedefinieerde routetabellen in Virtual WAN.
Deze implementatie biedt zeer redundante ExpressRoute-connectiviteit voor elke hub. Op elke hub zijn zeer redundante NVA's aangesloten.
Regio1 Hub1 routetabellen
De volgende tabellen tonen de gedefinieerde routeringsopties voor Regio1 Hub1.
Standaard (Hub1)
| Bestemming | Volgende sprong | Geassocieerd | Gepropageerd | Etiketten |
|---|---|---|---|---|
| 10.0.0.0/16 | SecurityVNet1Connection/NVA intern IP-adres | Takken | Takken | standaard, Hub1Default |
Spaken (Naaf1)
| Bestemming | Volgende sprong | Geassocieerd | Gepropageerd | Etiketten |
|---|---|---|---|---|
| 172.16.0.0/16 | SecurityVNet1Connection/NVA intern IP-adres | Sprak VNet1, sprak VNet2 | - | AllWorkloadSpokes |
| 0.0.0.0/0 | SecurityVNet1Connection/NVA intern IP-adres | Sprak VNet1, sprak VNet2 | - | AllWorkloadSpokes |
Beveiliging (Hub1)
| Bestemming | Volgende sprong | Geassocieerd | Gepropageerd | Etiketten |
|---|---|---|---|---|
| - | - | Beveiliging VNet1 | - | Hub1SecuritySpokes, AllSecuritySpokes |
Regio1 Hub2 routetabellen
De volgende tabellen tonen de gedefinieerde routeringsopties voor Regio1 Hub2.
Standaard routetabel (Hub2)
| Bestemming | Volgende sprong | Geassocieerd | Gepropageerd | Etiketten |
|---|---|---|---|---|
| 10.1.0.0/16 | SecurityVNet2Connection/NVA intern IP-adres | Takken | Takken | standaard, Hub2Default |
Spaken (Hub2)
| Bestemming | Volgende sprong | Geassocieerd | Gepropageerd | Etiketten |
|---|---|---|---|---|
| 172.16.0.0/16 | SecurityVNet2Connection/NVA intern IP-adres | Sprak VNet3, sprak VNet4 | - | AllWorkloadSpokes |
| 0.0.0.0/0 | SecurityVNet2Connection/NVA intern IP-adres | Sprak VNet3, sprak VNet4 | - | AllWorkloadSpokes |
Beveiliging (Hub2)
| Bestemming | Volgende sprong | Geassocieerd | Gepropageerd | Etiketten |
|---|---|---|---|---|
| - | - | Beveiliging VNet2 | - | Hub2SecuritySpokes, AllSecuritySpokes |
Regio2 Hub1 routetabellen
De volgende tabellen tonen de gedefinieerde routeringsopties voor Regio2 Hub1.
Standaard (Hub3)
| Bestemming | Volgende sprong | Geassocieerd | Gepropageerd | Etiketten |
|---|---|---|---|---|
| 10.2.0.0/16 | SecurityVNet3Connection/NVA intern IP-adres | Takken | Takken | standaard, Hub3Default |
Spaken (Hub3)
| Bestemming | Volgende sprong | Geassocieerd | Gepropageerd | Etiketten |
|---|---|---|---|---|
| 172.16.0.0/16 | SecurityVNet3Connection/NVA intern IP-adres | Sprak VNet5, sprak VNet6 | - | AllWorkloadSpokes |
| 0.0.0.0/0 | SecurityVNet3Connection/NVA intern IP-adres | Sprak VNet5, sprak VNet6 | - | AllWorkloadSpokes |
Beveiliging (Hub3)
| Bestemming | Volgende sprong | Geassocieerd | Gepropageerd | Etiketten |
|---|---|---|---|---|
| - | - | Beveiliging VNet3 | - | Hub3SecuritySpokes, AllSecuritySpokes |
Regio2 Hub2 routetabellen
De volgende tabellen tonen de gedefinieerde routeringsopties voor Regio2 Hub2.
Standaard (Hub4)
| Bestemming | Volgende sprong | Geassocieerd | Gepropageerd | Etiketten |
|---|---|---|---|---|
| 10.3.0.0/16 | SecurityVNet4Connection/NVA intern IP-adres | Takken | Takken | standaard, Hub4Default |
Spaken (Hub4)
| Bestemming | Volgende sprong | Geassocieerd | Gepropageerd | Etiketten |
|---|---|---|---|---|
| 172.16.0.0/16 | SecurityVNet4Connection/NVA intern IP-adres | Sprak VNet7, sprak VNet8 | - | AllWorkloadSpokes |
| 0.0.0.0/0 | SecurityVNet3Connection/NVA intern IP-adres | Sprak VNet7, sprak VNet8 | - | AllWorkloadSpokes |
Beveiliging (Hub4)
| Bestemming | Volgende sprong | Geassocieerd | Gepropageerd | Etiketten |
|---|---|---|---|---|
| - | - | Beveiliging VNet4 | - | Hub4SecuritySpokes, AllSecuritySpokes |
Etiketten
| Etiket | Gepropageerde virtuele netwerkverbindingen |
|---|---|
| AllWorkloadSpokes | SpokeVNet1Connection, SpokeVNet2Connection, SpokeVNet3Connection, SpokeVNet4Connection, SpokeVNet5Connection, SpokeVNet6Connection, SpokeVNet7Connection, SpokeVNet8Connection, SecurityVNet1Connection, SecurityVNet2Connection, SecurityVNet3Connection, SecurityVNet4Connection |
| AllSecuritySpokes | SpokeVNet1Connection, SpokeVNet2Connection, SpokeVNet3Connection, SpokeVNet4Connection, SpokeVNet5Connection, SpokeVNet6Connection, SpokeVNet7Connection, SpokeVNet8Connection |
| Hub1Standaard | BeveiligingVNet1Verbinding |
| Hub2Standaard | BeveiligingVNet2Connection |
| Hub3Standaard | BeveiligingVNet3Connection |
| Hub4Standaard | BeveiligingVNet4Connection |
| Hub1SecuritySpokes | SpokeVNet1Connection, SpokeVNet2Connection, SecurityVNet1Connection |
| Hub2SecuritySpokes | SpokeVNet3Connection, SpokeVNet4Connection, SecurityVNet2Connection |
| Hub3SecuritySpokes | SpokeVNet5Connection, SpokeVNet6Connection, SecurityVNet3Connection |
| Hub4SecuritySpokes | SpokeVNet7Connection, SpokeVNet8Connection, SecurityVNet4Connection |
Deze netwerkarchitectuur integreert naadloos met het Cloud Adoption Framework voor Virtual WAN. De Virtual WAN-service, ExpressRoute-verbindingen, firewalls en, in dit geval, virtuele beveiligingsnetwerken maken deel uit van het connectiviteitsabonnement. De werkbelastingen, netwerkbeveiligingsgroepen en virtuele spaaknetwerken bevinden zich in de afzonderlijke abonnementen voor de landingszone van de werkbelasting of toepassingseigenaar.
Voor meer informatie, zieVirtuele WAN-netwerktopologie.
Potentiële use-cases
Dit ontwerp is van toepassing op elk bedrijf van voldoende omvang en voetafdruk in Azure. Het bedrijf kan dit ontwerp gebruiken om:
- Vervang bestaande Multiprotocol Label Switching (MPLS) of virtuele WAN-implementaties van derden.
- Verbind grootschalige cloudomgevingen met lokale omgevingen.
- Ondersteun verschillende bedrijfseenheden en applicaties met uiteenlopende vereisten en eigenaarschap binnen één tenant.
Aanbevelingen
ExpressRoute
- Klanten met grootschalige netwerken hebben vaak eerder verbindingspunten tot stand gebracht en hebben een hoge bandbreedte nodig voor hun circuits. Als u migreert van een grootschalige MPLS, zoals NetBond, en een circuitconnectiviteit van meer dan 40 Gbps nodig heeft, kunt u profiteren van uw netwerkinfrastructuur en ExpressRoute Direct opzetten. ExpressRoute Direct ondersteunt MACsec-versleuteling voor zwaarbeveiligde workloads.
- Gebruik voor kostenoptimalisatie lokale ExpressRoute-verbindingen om het primaire ExpressRoute-circuit te peeren naar de regionale hub van uw keuze. Het back-up ExpressRoute-circuit moet standaard ExpressRoute-verbindingen gebruiken.
sprak
- Uitgang via internet: Uitgaand internetverkeer moet via de lokale NVA-firewall worden geleid die is verbonden met dezelfde hub als het virtuele bronnetwerk voor dat verkeer.
- Inspectie van internettoegang: Klanten kunnen de inkomende internetverbinding voor de spoke-workloads inspecteren. Ze kunnen Azure Application Gateway of Azure Front Door gebruiken voor WAF-inspectie van verkeer naar de spaken. Source Network Address Translation (SNAT) is vereist om routeringsconflicten te voorkomen met de 0.0.0.0/0-route die wordt geadverteerd door de virtuele WAN-hub.
- Netwerkbeveiligingsgroepen: Gebruik netwerkbeveiligingsgroepen om de beveiliging aan te passen van de toepassing die zich in uw gesproken virtuele netwerk bevindt.
NVA
- Ontslag: Volg een best practice-architectuur voor NVA-implementatieredundantie. Gebruik meerdere virtuele machines of schaalsets en load balancers om front-end- en back-endondersteuning te bieden.
Routering van virtuele WAN-hubs
- Spoke virtuele netwerkverbindingen mogen alleen worden doorgegeven aan routetabellabels en niet aan specifieke routetabellen. Deze praktijk vereenvoudigt benaderingen die infrastructuur als code gebruiken.
- Elke hub moet zijn eigen standaard hublabel hebben om de verspreiding van de routes van het virtuele beveiligingsnetwerk toe te staan en te beperken tot alleen de standaardroutetabel van die hub. Als u het ingebouwde standaardlabel gebruikt, verspreidt het zich over alle hubs.
- Elke hub moet een routetabellabel hebben voor het virtuele beveiligingsnetwerk van die hub. Deze praktijk stroomlijnt de infrastructuur als code omdat virtuele netwerkverbindingen worden doorgegeven aan het label in plaats van aan een specifieke routetabel.
Overwegingen
Deze overwegingen implementeren de pijlers van het Azure Well-Architected Framework, een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een werkbelasting te verbeteren. Voor meer informatie, zieMicrosoft Azure goed ontworpen raamwerk.
Betrouwbaarheid
Betrouwbaarheid zorgt ervoor dat uw applicatie kan voldoen aan de toezeggingen die u aan uw klanten doet. Voor meer informatie, zieOverzicht van de betrouwbaarheidspijler.
Deze workload optimaliseert hoge beschikbaarheid met Virtual WAN, redundante ExpressRoute-circuits en schaalsets voor NVA's. Deze combinatie resulteert in de redundantie die nodig is voor zeer kritieke workloads.
Beveiliging
Beveiliging biedt zekerheid tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Voor meer informatie, zieOverzicht van de beveiligingspijler.
Deze workload biedt firewall-inspectie tussen Azure en on-premises systemen en inspectie voor uitgaand internetverkeer vanuit Azure. Overweeg Azure Front Door of Application Gateway voor inkomend internetverkeer. Gebruik SNAT om routeringsconflicten te voorkomen.
Kosten optimalisatie
Kostenoptimalisatie gaat over het zoeken naar manieren om onnodige kosten te verminderen en de operationele efficiëntie te verbeteren. Voor meer informatie, zieOverzicht van de pijler kostenoptimalisatie.
Zie voor de kosten van Azure-componenten deAzure-prijscalculator. De prijsstelling voor deze oplossing is gebaseerd op factoren zoals:
- De Azure-services die worden gebruikt.
- De ExpressRoute-maatvoering.
- De grootte van het virtuele WAN en de hoeveelheden gegevensverkeer die elke hub verwerkt.
- De NVA-prijzen.
Deze workload geeft prioriteit aan prestaties en beschikbaarheid boven lage kosten. Maar het gebruik van ExpressRoute Local voor primaire verbindingen optimaliseert de kosten omdat het de bandbreedtekosten beperkt. Als u prestaties en betrouwbaarheid in gevaar wilt brengen om de kosten te optimaliseren, kunt u het aantal ExpressRoute-circuits en firewalls verminderen. Wanneer u deze bronnen vermindert, verlaagt dit de kosten, maar doorkruist het de virtuele WAN-hubs met minder efficiëntie wanneer u verbinding maakt met on-premises of cloudbestemmingen.
Operationele uitmuntendheid
Operationele uitmuntendheid omvat de operationele processen die een toepassing implementeren en deze in productie houden. Voor meer informatie, zieOverzicht van de pijler operational excellence.
Dit ontwerp is compatibel met Terraform en infrastructuur als code. Het vereist de Terraform Azure API-provider voor implementatie vanwege virtuele WAN-vertraging in de beschikbaarheid van functies.
Prestatie-efficiëntie
Prestatie-efficiëntie is het vermogen van uw werklast om te schalen om op een efficiënte manier te voldoen aan de eisen die gebruikers eraan stellen. Voor meer informatie, zieOverzicht pijlers prestatie-efficiëntie.
Dit netwerk is zeer performant. Zelfs als een verbinding mislukt, gebruiken prestaties en routering het best beschikbare pad.
Implementeer dit scenario
Met de volgende stappen worden de Virtual WAN-service, hubs, virtuele spoke-netwerken en ExpressRoute-verbindingen tot stand gebracht. Zie voor een zelfstudieMaak een ExpressRoute-koppeling met Azure Virtual WAN.
- Maak een virtuele WAN-service.
- Implementeer meerdere hubs en een ExpressRoute-gateway in elke hub.
- Implementeer het vereiste aantal virtuele workload-spoke-netwerken om uw workload te ondersteunen en verbind ze met de gewenste hubs.
- Breng verbindingen tot stand tussen uw ExpressRoute-circuits en uw hubs.
- Implementeer één virtueel beveiligingsnetwerk voor elke hub.
- Implementeer de NVA van uw keuze en configureer de firewall. Gebruik NVA-specifieke documentatie voor deze stap. Gebruik het voorbeeld in om de routetabellen en labels vast te stellenRoutering van virtuele hubs configureren: Azure-portal - Azure Virtual WAN.
- Controleer de routering.
bijdragers
Dit artikel wordt onderhouden door Microsoft. Het is oorspronkelijk geschreven door de volgende bijdragers.
Belangrijkste auteurs:
- Ethan Haslett| Senior cloud-oplossingsarchitect
- Jan Poetzinger| Senior cloud-oplossingsarchitect
Andere bijdragers:
- Jimmy Avila| Senior cloud-oplossingsarchitect
- Andrew Delsky| Hoofdarchitect van cloudoplossingen
- Robert Lichter| Senior cloud-oplossingsarchitect
- Rodrigo Santos| Hoofdarchitect van cloudoplossingen
Meld u aan bij LinkedIn om niet-openbare LinkedIn-profielen te zien.
Volgende stappen
- Over routering van virtuele hubs
- Routeer verkeer via NVA's met behulp van aangepaste instellingen
- Over ExpressRoute-verbindingen in Azure Virtual WAN
- Wat is Azure Virtual WAN
- Hub-spoke netwerktopologie met Azure Virtual WAN
- Migreren naar Azure Virtual WAN
- Virtuele WAN-architectuur geoptimaliseerd voor afdelingsspecifieke vereisten
- Virtuele WAN-netwerktopologie